Fachbeitrag teilen
Am 20.11.2024 wurde die Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, der sogenannte Cyber Resilience Act (kurz CRA), im EU-Amtblatt veröffentlicht. Die Vorschrift soll sicherstellen, dass eine Vielzahl an Produkten wie vernetzte Heimkameras, Kühlschränke, Fernseher, Spielzeug und auch Maschinen sicher sind, bevor sie auf den Markt gebracht werden.
Mit der neuen Verordnung sollen Lücken geschlossen, Zusammenhänge verdeutlicht und der bestehende Rechtsrahmen für die Cybersicherheit kohärenter gestaltet werden, um zu gewährleisten, dass Produkte mit digitalen Komponenten, z. B. Produkte des Internet der Dinge (Internet of Things, IoT), über die gesamte Lieferkette und den gesamten Lebenszyklus hinweg sicher sind.
Hinweis: Dieser Fachbeitrag wird laufend aktualisiert. Verpassen Sie keine wichtigen Updates und abonnieren Sie am besten gleich unseren kostenlosen Newsletter oder folgen uns auf LinkedIn!
Newsletter abonnieren
IBF auf LinkedIn folgen
Hintergründe
Aufgrund der aktuellen Security-Lage und insbesondere des Ukraine-Krieges war davon auszugehen, dass eine Erhöhung der Resilienz von Cyber-Attacken in Europa politisch hohe Priorität genießt und entsprechend mit Nachdruck verfolgt wird.
Am 1.12.2023 konnten das Europäische Parlament und der Rat eine Einigung über den von der Kommission im September 2022 vorgeschlagenen Cyber Resilience Act erzielen. Darin werden die Grundzüge des bisherigen Kommissionsvorschlags beibehalten, in einigen Bereichen schlagen die Mitgesetzgeber jedoch Anpassungen vor. Diese umfassen beispielsweise den Wunsch nach einer einfacheren Methodik für die Klassifizierung der unter die Verordnung fallenden digitalen Produkte, eine Festlegung der Produktlebensdauer durch die Hersteller oder eine Meldepflicht für aktiv ausgenutzte Schwachstellen und Vorfälle.
Am 12.3.2024 hat das Europäische Parlament den Kompromisstext angenommen, am 10.10. folgte die Billigung durch den Rat. Am 20.11.2024 wurde schließlich die finale Fassung im EU-Amtsblatt veröffentlicht. 20 Tage nach dieser Veröffentlichung wird er in Kraft treten und gilt ab 11.12.2027 unmittelbar in jedem EU-Mitgliedstaat.
Seminarhinweis
Security by Design - Cyber-Security Anforderungen an Maschinen und Anlagen
Im 2-tägigen Praxisseminar erfahren Sie, welche Aspekte der IT-Security bei der Konzeption und Planung von Maschinen und Anlagen besonders beachtet werden sollten, um den gesetzlich geforderten "Stand der Technik" auch im Bereich der Security von Maschinen und Anlagen gewährleisten zu können.
zum Seminar
Wann kommt der Cyber Resilience Act?
Am 20.11.2024 wurde der Cyber Resilience Act, das neue Gesetz über Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, im EU-Amtsblatt veröffentlicht.
Ab wann muss der Cyber Resilience Act angewandt werden?
Die neue Verordnung tritt zwanzig Tage nach der Veröffentlichung im EU-Amtsblatt in Kraft (10.12.2024) und gilt 36 Monate nach diesem Inkrafttreten unmittelbar in jedem EU-Mitgliedstaat, nämlich ab 11. Dezember 2027.
Einige Bestimmungen werden bereits früher gelten:
Was sind die Erwägungsgründe der EU-Kommission zum Cyber Resilience Act?
Alle 11 Sekunden findet ein Hacker-Angriff statt. Daraus resultieren Kosten von über 5 Billionen Euro. So schreibt es die EU-Kommission in ihrer Cybersicherheitsstrategie und untermauert damit, dass in Zukunft ein höheres Maß an Cybersecurity sichergestellt werden muss. Ziel ist, dass die festgelegten Anforderungen als ständiger Bestandteil in die gesamte Lieferkette mit aufgenommen werden sollen.
Der neue „Cyber Resilience Act“ soll gewährleisten, dass digitale Produkte für Einzelpersonen und Unternehmen sicherer werden. Hersteller solcher Produkte, sowohl von Hardware als auch Software, werden dahingehend verpflichtet, mithilfe von Softwareaktualisierungen Schwachstellen zu beheben und den Endanwender ihrer Produkte über mögliche Cybersicherheitsrisiken zu informieren. Zusätzlich definiert die Verordnung Anforderungen an die Software-Entwicklung und unterstreicht somit auch die im bereits in Anwendung befindlichen „Cyber Security Act“ geforderte „Security by Design“.
Was sind die Ziele des Cyber Resilience Acts?
Die von der EU-Kommission vorgelegten Cybersicherheitsvorschriften haben das übergeordnete Ziel, sicherere Hardware- und Softwareprodukte auf den Binnenmarkt zur bringen. In Form von 4 Maßnahmen konkretisiert die Kommission die Ziele des Rechtsaktes:
Was lässt sich zum Anwendungsbereich des Cyber Resilience Act sagen?
Aus dem Anwendungsbereich der Verordnung lässt sich erkennen, dass dieser Bereich sehr weit gefasst ist:
„Diese Verordnung gilt für auf dem Markt bereitgestellte Produkte mit digitalen Elementen, deren bestimmungsgemäßer Zweck oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.“
Durch die lose Definition „digitale Elemente“ umfasst die Verordnung somit sowohl Hardware wie Maschinen und IoT-Geräte als auch reine Software-Produkte.
Im Anwendungsbereich werden auch Ausnahmen genannt, so fallen beispielsweise Medizinprodukte nach Verordnung (EU) 2017/745 nicht unter den Geltungsbereich des geplanten Rechtsakts.
Im Rechtsakt wird auch das künftige Zusammenspiel mit der delegierten Verordnung 2022/30 geregelt, welche bereits jetzt Security-Anforderungen an internetfähige Anlagen im Sinne der Funkgeräterichtlinie 2014/53/EU fordert. So kündigte Brüssel an, dass zur Vermeidung von Überschneidungen die Verordnung 2022/30 entweder aufgehoben oder lediglich ergänzt werden soll.
Fordert der Cyber Resilience Act ein Konformitätsbewertungsverfahren und eine "Cyber-Risikobeurteilung" ?
Analog zu bisherigen EU-Rechtsakten (z.B. Maschinen- oder Niederspannungsrichtlinie) sieht auch der Cyber Resiliance Act ein Konformitätsbewertungsverfahren vor.
Kern des Verfahrens stellt die Cyber-Risikobeurteilung dar. So sieht die Verordnung in Artikel 13, Absatz 2 vor:
„ (...) führen die Hersteller eine Bewertung der Cybersicherheitsrisiken durch, die ein Produkt mit digitalen Elementen birgt, und berücksichtigen das Ergebnis dieser Bewertung in der Planungs-, Konzeptions-, Entwicklungs-, Herstellungs-, Liefer- und Wartungsphase des Produkts mit digitalen Elementen, um die Cybersicherheitsrisiken zu minimieren, Sicherheitsvorfälle zu verhindern und die Auswirkungen solcher Sicherheitsvorfälle, auch in Bezug auf die Gesundheit und Sicherheit der Nutzer, so gering wie möglich zu halten.“
Je nach Kritikalität der Produkte unterscheidet das Konformitätsbewertungsverfahren zwischen einer Selbstzertifizierung und zwei Verfahren, bei denen benannte Stellen beigezogen werden müssen. Details dazu finden sich im Factsheet zum Cyber Resiliance Act.
Insbesondere bemerkenswert für Hersteller sind aus unserer Sicht die Ausführung in Anhang VII, Absatz 2, der Verordnung. Das Dokument nennt hier unterschiedliche Aspekte (Konzeption, Entwicklung, Produktion, Schwachstellenanalyse) als Inhalte der technischen Unterlagen. D.h. im Software-Entwicklungsprozess müssen – wenn es nach der EU-Kommission geht – künftig software-architektonische Entscheidungen, sowohl als auch Entscheidungen bzgl. des Entwicklungs- und Build-Prozesses entsprechend dokumentiert werden. Dies bedeutet selbstredend einen erhöhten Dokumentationsaufwand für Unternehmen. Insbesondere die schnelle technologische Weiterentwicklung von Tools rund um die Softwareentwicklung (z.B. für Build-Prozesse) wird Unternehmen hier sicherlich in Zukunft vor bewältigbare, aber dennoch nicht zu unterschätzende organisatorische Herausforderungen stellen.
Der Inhalt im Wortlaut:
„INHALT DER TECHNISCHEN DOKUMENTATION
(…)
eine Beschreibung der Konzeption, Entwicklung und Herstellung des Produkts mit digitalen Elementen und der Verfahren zur Behandlung von Schwachstellen, einschließlich
(a) erforderlicher Informationen über die Konzeption und Entwicklung des Produkts mit digitalen Elementen, gegebenenfalls mit Zeichnungen und Schemata und/oder einer Beschreibung der Systemarchitektur, aus der hervorgeht, wie Softwarekomponenten aufeinander aufbauen, miteinander zusammenwirken und sich in die Gesamtverarbeitung integrieren;
(b) erforderlicher Informationen und Spezifikationen bezüglich der vom Hersteller festgelegten Verfahren zur Behandlung von Schwachstellen, einschließlich der Software-Stückliste, des Konzepts für die koordinierte Offenlegung von Schwachstellen, des Nachweises der Bereitstellung einer Kontaktadresse für die Meldung der Schwachstellen und einer Beschreibung der gewählten technischen Lösungen für die sichere Verbreitung von Aktualisierungen;
(c) erforderlicher Informationen und Spezifikationen bezüglich der Herstellungs- und Überwachungsprozesse des Produkts mit digitalen Elementen und der Validierung dieser Prozesse;“
Was bedeuten die Anforderungen des Cyber Resilience Act für Hersteller?
Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) bietet mit der Veröffentlichung der Technischen Richtlinie TR-03183 Unterstützung bei der Identifikation der Anforderungen des CRA für Hersteller. Weitere Informationen dazu finden Sie in unserem Fachbeitrag "Technische Richtlinie für Cyber-Resilienz-Anforderungen".
Ab wann wird es harmonisierte Normen zum Cyber Resilience Act geben?
In den kommenden Monaten wird die Kommission die europäischen Normungsorganisationen CEN und CENELEC dazu auffordern, "harmonisierte Normen für die in Anhang I dieser Verordnung aufgeführten grundlegenden Cybersicherheitsanforderungen auszuarbeiten." Im Rahmen eines solchen Normungsauftrags ist die Kommission bestrebt, bestehende europäische und internationale Normen im Bereich der Cybersicherheit zu berücksichtigen, die bereits veröffentlicht sind oder derzeit entwickelt werden. Bisher ist ein solcher Normungsauftrag zum CRA nur als Entwurfsdokument verfügbar, es wird erwartet, dass der offizielle "Stadardisation Request" zeitnah nach Veröffentlichung des Cyber Resilience Act erscheinen wird.
Beispiele solcher Normen und Spezifikationen, die möglicherweise zur Erfüllung der CRA-Anforderungen harmonisiert werden könnten, sind:
Analog zur neuen Maschinenverordnung (EU) 2023/1230 kann die Kommission bei Fehlen harmonisierter Normen für die Cybersicherheitsanforderungen des Anhangs I Durchführungsrechtsakte mit gemeinsamen Spezifikationen für technische Anforderungen erlassen. Diese Option lässt sich der Gesetzgeber offen, falls die gewünschten Normen nicht in der festgesetzten Frist geliefert, der Normungsauftrag nicht angenommen wurde oder die Dokumente inhaltlich nicht dem Auftrag entsprechen.
Speziell für Hersteller von Maschinen bieten folgende Dokumente eine wertvolle Informationsquelle:
Wie ist der Cyber Resilience Act zu anderen Cybervorschriften wie NIS-2 abzugrenzen?
Die NIS-2-Richtlinie gilt für Netzwerk- und Informationssysteme, die zur Bereitstellung wesentlicher und wichtiger Dienste in Schlüsselsektoren verwendet werden. So schreibt die Vorschrift Organisationen (=Betreibern) aus verschiedenen Sektoren vor sicherzustellen, dass die Netzwerke und Systeme, die sie zur Erbringung von Dienstleistungen und zur Durchführung ihrer Tätigkeiten nutzen, ein höheres Maß an Cybersicherheit erreichen. Welche Unternehmen davon direkt (als Betreiber) betroffen sind und welche Anforderungen bzw. Sanktionen die Richtlinie vorsieht, haben wir im Fachbeitrag NIS-2-Richtlinie im Maschinenbau erläutert.
Der Cyber Resilience Act dagegen legt Cybersicherheitsanforderungen für Hardware- und Softwareprodukte fest, die von Unternehmen (=Herstellern) in der EU auf den Markt gebracht werden. Für Produkte, die in den Geltungsbereich des CRA fallen, müssen Hersteller Sicherheitsbewertungen durchführen, Verfahren zur Behandlung von Schwachstellen einführen und den Benutzern die erforderlichen Informationen zur Verfügung stellen.
Am 20. November 2024 wurde die finale Fassung des Cyber Resilience Act im EU-Amtsblatt veröffentlicht. Zum Volltext der Verordnung (EU) 2024/2847 gelangen Sie über folgenden Link:
Cyber Resilience Act 2024/2847 vom 20.11.2024
Weiterführende Informationen
Eine Analyse des "Cyber Resilience Act" aus juristischer Sicht können Sie im entsprechenden Fachbeitrag von Dr. Gerhard Wiebe einsehen.
Verfasst am: 20.11.2024 (Letzte Aktualisierung)
Johannes Windeler-Frick, MSc ETH Geschäftsführer der IBF Solutions. Fachreferent CE-Kennzeichnung und Safexpert. Vorträge, Podcasts und Publikationen zu unterschiedlichen CE-Themen, insbesondere CE-Organisation und effizientes CE-Management. Leitung der Weiterentwicklung des Softwaresystems Safexpert. Studium der Elektrotechnik an der ETH Zürich (MSc) im Schwerpunkt Energietechnik sowie Vertiefung im Bereich von Werkzeugmaschinen.
E-Mail: johannes.windeler-frick@ibf-solutions.com | www.ibf-solutions.com
Daniel Zacek-Gebele, MSc Produktmanager bei IBF für Zusatzprodukte sowie Datenmanager für die Aktualisierung der Normendaten am Safexpert Live Server. Studium der Wirtschaftswissenschaften in Passau (BSc) und Stuttgart (MSc) im Schwerpunkt International Business and Economics.
E-Mail: daniel.zacek-gebele@ibf-solutions.com | www.ibf-solutions.com
Sie sind noch nicht zum kostenlosen CE-InfoService registriert? Melden Sie sich jetzt an und erhalten Sie die Info per Mail, wenn neue Fachbeiträge, wichtige Normenveröffentlichungen oder sonstige News aus dem Bereich Maschinen- und Elektrogerätesicherheit bzw. Product Compliance verfügbar sind.
Registrieren
CE-Software zum systematischen und professionellen sicherheitstechnischen Engineering
Praxisgerechte Seminare rund um das Thema Produktsicherheit
Mit dem CE-InfoService bleiben Sie informiert bei wichtigen Entwicklungen im Bereich Produktsicherheit